• IT-Karriere:
  • Services:

Verschlüsselung wurde nicht detailiert untersucht

Ein großer Streitpunkt beim BeA war bisher die verwendete Verschlüsselung. Ursprünglich hatte die Bundesrechtsanwaltskammer behauptet, dass es sich um eine Ende-zu-Ende-Verschlüsselung handele. Das ist allerdings nicht korrekt, da die Nachrichten in einem Hardware-Sicherheitsmodul (HSM) entschlüsselt und neu verschlüsselt werden.

Stellenmarkt
  1. Basler Versicherungen, Bad Homburg
  2. über vietenplus, Großraum Osnabrück

Die Verwendung des HSMs ist eine Grundsatzfrage, und alle bisherigen Aussagen der Bundesrechtsanwaltskammer deuten darauf hin, dass diese daran nichts ändern möchte. Eine Gruppe von Anwälten hat vor kurzem mit Unterstützung der Gesellschaft für Freiheitsrechte eine Klage eingereicht, mit der eine Ende-zu-Ende-Verschlüsselung erzwungen werden soll.

Doch unabhängig davon, ob ein HSM verwendet wird oder nicht, stellt sich die Frage, welche Verschlüsselungstechniken und Algorithmen zum Einsatz kommen. Dazu sagt das Gutachten nahezu nichts. Es wird lediglich oberflächlich die HSM-Konstruktion beschrieben und etwa erläutert, wie Postfächer erstellt und deren zugehörige Zertifikate signiert werden.

Darstellung in Geheimdokumenten von Atos laut Secunet mangelhaft

Secunet verweist im Gutachten darauf, dass die hierzu gelieferte Dokumentation von Atos mangelhaft sei: "Vermisst wurde eine genaue Darstellung der kryptographischen Operationen auf die verschiedenen Datenelemente mit Kryptoschutzbedarf. Daher war es nicht immer möglich, die vom BeA ausgeführten kryptographischen Operationen im Detail nachzuvollziehen und sich von der Geschlossenheit und kryptographischen Robustheit des Schutzes der Nachrichten zu überzeugen."

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. PostgreSQL Fundamentals
    15.-18. Juni 2021, online
Weitere IT-Trainings

Da in letzter Zeit bei anderen Nachrichtenverschlüsselungstechniken einige gravierende und bislang unterschätzte Gefahren aufgetaucht sind - Stichwort Efail - wirkt dies wenig überzeugend.

Weiter heißt es: "Die grundsätzlichen kryptographischen Schritte im Umgang mit Nachrichten konnten anhand der vorgelegten Feinkonzepte und des Kryptokonzeptes nachvollzogen werden." Das Feinkonzept und das Kryptokonzept wiederum sind Dokumente, die Secunet von Atos zur Verfügung gestellt wurden, die aber für die Öffentlichkeit und die Rechtsanwälte nicht zugänglich sind.

Fehlende Zertifikatsprüfung und unkontrollierter Dateiupload

Trotz der spärlichen Details wird durch das Gutachten deutlich, dass eine ganze Reihe von weiteren Sicherheitsproblemen im BeA bestehen, die teilweise bislang auch nicht bekannt waren. So wurde etwa beim Nachrichtenversand auf eine Prüfung der Zertifikate und damit der Empfängerschlüssel verzichtet. Außerdem war es möglich, beliebige Dateien auf dem BeA-Server abzulegen, was zwar die Sicherheit des Systems nicht direkt gefährdet, aber einen Mißbrauch der Infrastruktur ermöglicht. Doch obwohl diese Lücken nicht zu unterschätzen sind, lassen sich die meisten davon relativ einfach mit einem Sicherheitsupdate der Software beheben.

Nach der Vorstellung der Brak soll es jetzt schnell weitergehen. Am 27. Juni werden die Präsidenten der lokalen Rechtsanwaltskammern zu einer Hauptversammlung zusammenkommen. Dort soll die Wiederinbetriebnahme des BeA beschlossen werden. Bereits am 4. Juli soll dann die Client-Software wieder zum Download angeboten werden. Am 3. September würde, wenn es nach den Vorschlägen der Brak geht, das BeA wieder online gehen. Auch die Nutzungspflicht für Rechtsanwälte soll ab dann wieder gelten. Angesichts der ungelösten Probleme dürfte das ein sehr ambitionierter Zeitplan sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Ungelöstes Problem mit Javascript-Code vom Server
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Top-Angebote
  1. gratis
  2. (u. a. i-tec Adapterkabel USB-C > HDMI 4K/60Hz 1,5m für 12,99€, i-tec MySafe USB 3.0 Easy...
  3. 47,99€
  4. 1.799€ (versandkostenfrei)

intnotnull12 24. Jun 2018

Sollte man fürs Protokoll aber mal klar so festhalten: Der Quellcode wurde also *immer...

johnripper 23. Jun 2018

..und am 13.9 wieder offline. Grund: weitere Sicherheitslücken. Ich glaube allen...

Baron Münchhausen. 23. Jun 2018

Zertifikate sind doch nur zum verschlüsseln und authentifizieren notwendig. Wovon du...

hab (Golem.de) 22. Jun 2018

So versteh ich es auch. Ich hab die Brak aber danach explizit nochmal gefragt.


Folgen Sie uns
       


Mini-PCs von Asus, Apple und Zotac im Test - Fazit

Wir haben uns den Mac Mini und zwei Alternativen von Asus und Zotac angesehen. Es ist interessant, wie leistungsfähig die Kontrahenten sind.

Mini-PCs von Asus, Apple und Zotac im Test - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /